Sledovanie и Vývojári Ubuntu prepnite na predvolený paketový filter .
Na zachovanie spätnej kompatibility sa odporúča použiť balík , ktorý poskytuje pomocným programom rovnakú syntax príkazového riadku ako iptables, ale výsledné pravidlá prekladá do bajtového kódu nf_tables. Zmena sa plánuje zahrnúť do jesenného vydania Ubuntu 20.10.
Toto je druhý pokus o migráciu Ubuntu na nftables. Prvý pokus sa uskutočnil minulý rok, ale bol zamietnutý z dôvodu nekompatibility so súpravou nástrojov . Teraz už v LXD natívna podpora pre nftables a môže pracovať s novým backendom filtrovania paketov. Pre používateľov, ktorí nemajú dostatočnú vrstvu kompatibility, schopnosť inštalovať klasické utility iptables, ip6tables, arptables a ebtables so starým backendom.
Pripomeňme si to v paketovom filtri Rozhrania filtrovania paketov pre IPv4, IPv6, ARP a sieťové mosty boli zjednotené. Balík nftables obsahuje komponenty paketového filtra, ktoré bežia v užívateľskom priestore, zatiaľ čo prácu na úrovni jadra zabezpečuje subsystém nf_tables, ktorý je súčasťou linuxového jadra od vydania 3.13. Úroveň jadra poskytuje iba všeobecné rozhranie nezávislé od protokolu, ktoré poskytuje základné funkcie na extrahovanie údajov z paketov, vykonávanie operácií s údajmi a riadenie toku.
Samotné filtrovacie pravidlá a obslužné programy špecifické pre daný protokol sú skompilované do bajtkódu používateľského priestoru, po ktorom sa tento bajtkód načíta do jadra pomocou rozhrania Netlink a spustí sa v jadre v špeciálnom virtuálnom stroji pripomínajúcom BPF (Berkeley Packet Filters). Tento prístup umožňuje výrazne zmenšiť veľkosť filtrovacieho kódu spusteného na úrovni jadra a presunúť všetky funkcie pravidiel parsovania a logiku práce s protokolmi do užívateľského priestoru.
Zdroj: opennet.ru